Suite aux annonces de Google et Yahoo de renforcer les vérifications des authentifications sur les expéditeurs envoyant plus de 5 000 emails par jour, DMARC (via l’alignement des domaines) devient un standard qu’il faut absolument avoir… Et ce ne sont pas les nombreuses alertes et articles qui fusent de partout sur les différents blogs / réseaux sociaux qui me diront le contraire ! On a même fait un Live Youtube sur le sujet :p
Outre le fait de répondre aux exigences de Google et Yahoo, les entreprises devraient surtout se focaliser à mieux sécuriser leurs domaines / sous-domaines. Malheureusement, pendant mes audits, je fais encore beaucoup trop de recommandations sur les paramétrages et la mise en place des authentifications (que ce soit SPF, DKIM voir DMARC). Ainsi, il n’est pas étonnant de voir les règles de filtrage se durcir côté FAI / Webmails pour encore mieux sécuriser / filtrer les e-mails reçus par leurs utilisateurs !
Implémenter DMARC c’est bien ! Mais derrière cette implémentation, il y a une réelle stratégie à mettre en place sur les authentifications SPF et DKIM mais aussi sur l’alignement des domaines. Je vous propose de voir dans cet article, l’importance de bien aligner ses domaines avec DMARC pour mieux les sécuriser, être mieux perçus de vos utilisateurs (du moins les plus aguerris) mais aussi de vous éviter le casse-tête de Google / Yahoo, du moins si leurs annonces vous donnent froid dans le dos…
Qu’est-ce que l’alignement des domaines avec DMARC ?
Rappel de conformité avec DMARC
La règle est simple pour que DMARC s’applique : Pour être conforme avec DMARC, un e-mail doit avoir au moins son enregistrement SPF valide et aligné ou son enregistrement DKIM valide et aligné avec le domaine utilisé en expéditeur. On entend donc par alignement le fait que le domaine signé avec SPF ou DKIM ait une correspondance avec le domaine expéditeur ! Il peut être identique ou faire partie de la même arborescence. Mais DMARC va encore plus loin dans la protection des domaines et permet d’appliquer 2 modes d’alignement à SPF et DKIM, à savoir “relaxed” ou “strict”.
L’alignement “relaxed” ou “souple”
L’alignement “relaxed” (ou “souple”) est l’alignement par défaut proposé si aucun alignement n’est spécifiquement déclaré dans l’enregistrement DMARC. La gestion de cet alignement est différente entre SPF et DKIM puisque les vérifications ne vont pas se faire au même endroit, voici les différents cas de figure possibles :
| Authentification | Déclaration | Alignement Relaxed / Souple |
|---|---|---|
| SPF | aspf=r ou aucun attribut | Le domaine MailFrom * doit être identique ou être un domaine / sous-domaine du domaine expéditeur. |
| DKIM | adkim=r ou aucun attribut | Le domaine signé avec DKIM (champ d=) doit être identique ou être un domaine / sous-domaine du domaine expéditeur. |
* Le domaine MailFrom est aussi appelé "enveloppe" de l'e-mail (ou envelope sender) ou "return-path". C'est sur ce domaine que va être signé SPF à contrario de DKIM est va être vérifié sur le domaine From (ou domaine expéditeur ou Header From).
Au final, ce mode d’alignement permet une vraie souplesse au niveau de la configuration des authentifications et en particulier pour SPF où certains routeurs demandent la délégation d’un sous-domaine spécifique pour la configuration du domaine MailFrom.
L’alignement “strict”
L’alignement “strict” est l’alignement le plus sécurisant pour une configuration. Pour être actif, il devra être clairement spécifié dans l’enregistrement DMARC.
La gestion de l’alignement “strict” est différente entre SPF et DKIM puisque les vérifications ne vont pas se faire au même endroit, voici les différents cas de figure possibles :
| Authentification | Déclaration | Alignement Relaxed / Souple |
|---|---|---|
| SPF | aspf=s | Le domaine MailFrom doit être identique au domaine expéditeur. |
| DKIM | adkim=s | Le domaine signé avec DKIM (champ d=) doit être identique au domaine expéditeur. |
Cet alignement “strict” est idéal pour vraiment sécuriser au maximum votre nom de domaine voir même votre configuration chez votre routeur (du moment que tous les domaines sont identiques – comme chez Engage (cf. Marigold / ex-Selligent)).
Quelques exemples d’alignement et leur résultat avec SPF
Voici les différents cas de configuration que l’on peut retrouver avec les alignements SPF :
| From domain | MailFrom / Envelope domain | Alignement Souple | Alignement Strict |
|---|---|---|---|
| badsender.com | badsender.com | Oui | Oui |
| emailing.badsender.com | emailing.badsender.com | Oui | Oui |
| badsender.com | emailing.badsender.com | Oui | Non |
| emailing.badsender.com | badsender.com | Oui | Non |
| emailing.badsender.com | contact.badsender.com | Oui | Non |
| badsender.com | badsender.fr | Non | Non |
| badsender.com | bf1.hubspot.com | Non | Non |
On s’aperçoit finalement que seulement les 2 derniers exemples déclencheraient la politique de sécurité DMARC car les domaines utilisés en From (badsender.com) / MailFrom (ou Envelope Sender) (badsender.fr / bf1.hubspot.com) sont totalement différents.
Quelques exemples d’alignement et leur résultat avec DKIM
Voici les différents cas de configuration que l’on peut retrouver avec les alignements DKIM :
| From domain | Domaine signé (d=) | Résultat Alignement | Souple | Strict |
|---|---|---|---|---|
| badsender.com | badsender.com | Aligné | Oui | Oui |
| emailing.badsender.com | emailing.badsender.com | Aligné | Oui | Oui |
| badsender.com | emailing.badsender.com | Aligné | Oui | Non |
| emailing.badsender.com | badsender.com | Aligné | Oui | Non |
| emailing.badsender.com | contact.badsender.com | Aligné | Oui | Non |
| badsender.com | badsender.fr | Non Aligné | Non | Non |
| badsender.com | bf1.hubspot.com | Non Aligné | Non | Non |
On s’aperçoit finalement que seulement les 2 derniers exemples déclencheraient la politique de sécurité DMARC car les domaines utilisés et signés avec DKIM (badsender.fr et bf1.hubspot.com) sont totalement différents du domaine expéditeur (badsender.com).
Quelle stratégie adopter pour l’alignement de ses domaines ?
Il faut savoir que DMARC fonctionne en « héritage », c’est à dire que si votre enregistrement DMARC est publié sur votre domaine principal, les sous-domaines hériteront du même enregistrement (sauf si ceux-ci ont leur propre enregistrement DMARC).
Avant de se poser la question sur quel type d’alignement adopter, commencez d’abord par réaliser un audit complet de tous les domaines utilisés (domaines principaux et sous-domaines) afin de connaitre les paramétrages en place, les plateformes utilisées. Ceci vous permettra plus facilement de savoir quelle stratégie adoptée : Une gestion de DMARC par héritage (qui ne serait pas si simple au final si vous avez beaucoup de sous-domaines à gérer avec des stratégies d’utilisation différentes) ou par domaine expéditeur (qui peut être long mais offre plus de souplesse si vous souhaitez gérer des politiques de sécurité différentes ou des alignements différents entre vos sous-domaines).
Besoin d'aide ?
Lire du contenu ne fait pas tout. Le mieux, c’est d’en parler avec nous.
Dans les 3 cas de figure ci-dessous, on va utiliser une gestion de DMARC par domaine expéditeur. Cette gestion va être utile si vous utilisez beaucoup de sous-domaines sur des plateformes différentes.
Cas de figure n°1 : Le Must Have ! Appliquer un alignement « Strict »
Avec cette configuration en alignement STRICT (rappel : aspf=s et adkim=s), vous sécurisez au maximum vos flux e-mails. Par contre, côté paramétrage des domaines, le domaine signé avec SPF et le domaine signé avec DKIM devra être exactement le même que le domaine expéditeur. Donc assurez-vous bien que tout est ok avant de vous engager là dedans 😉
Personnellement, c’est l’option que je recommande, du moment où l’on utilise un domaine expéditeur pour un outil (on évite la mutualisation d’un domaine sur plusieurs plateformes de routage).
Cas de figure n°2 : Le Nice to Have ! Alterner les alignements « Relâché » et « Strict »
Avec cette configuration intermédiaire (que je vois de plus en plus), on opte pour un alignement « relâché » avec SPF (aspf=r) et un alignement « strict » avec DKIM (adkim=s). C’est bien ici quand on est en IP mutualisée(s) (vu que l’on va utiliser généralement un domaine générique du routeur en tant que domaine MailFrom) et que l’on signe le domaine expéditeur avec la clé DKIM du routeur.
C’est un bon compromis quand on n’utilise pas d’IP dédiée(s) !
Cas de figure n°3 : La config par défaut ! Appliquer un alignement « Relâché »
Si vous ne voulez pas vous embêter avec l’alignement des domaines, optez pour la configuration par défaut (qui est « relaxed » pour SPF et DKIM). Ici, même pas besoin de les déclarer dans votre enregistrement, ça sera donc la valeur par défaut. Assurez-vous tout de même que DKIM est bien signé avec le domaine expéditeur ou un domaine de la même arborescence pour valider DMARC sinon la règle définie dans « p » (ou « sp ») s’appliquera.
Exemples de configuration et d’alignement DMARC
J’ai analysé et listé ci-dessous 3 newsletters reçues sur ma boite perso :
Exemple 1 : Qonto
- From domain :
qonto.com - SPF domain :
cio35236.qonto.com›› SPF valide avec un alignement Souple - DKIM domain :
cio35236.qonto.com›› DKIM valide avec un alignement Souple - Dmarc record :
v=DMARC1; p=reject; rua=mailto:dmarc_agg@vali.email
Pour l’e-mail de Qonto, la règle de sécurité DMARC ne s’appliquera pas puisque SPF et DKIM sont valides et alignés avec le domaine de l’expéditeur 🙂
Exemple 2 : Chilowé
- From domain :
chilowe.com - SPF domain :
mail221.atl61.mcsv.net›› SPF valide mais non aligné avec le From domain - DKIM domain :
chilowe.com›› DKIM valide avec un alignement Strict - DMARC domain :
v=DMARC1; p=none
Pour l’e-mail de Chilowe, la règle de sécurité DMARC ne s’appliquera pas puisque DKIM est valide et aligné avec le de domaine de l’expéditeur 🙂 Par contre, dommage que les rapports DMARC ne soient pas suivis !
Exemple 3 : NFL International
- From domain :
e.nfluk.com - SPF domain :
e.nfluk.com›› SPF valide avec un alignement Strict - DKIM domain :
e.nfluk.com›› DKIM valide avec un alignement Strict - DMARC domain : Aucun record DMARC !
Pour l’e-mail de la NFL International, même si SPF et DKIM sont valides et alignés avec le domaine de l’expéditeur, le fait qu’aucun enregistrement DMARC ne soit présent sur le domaine risque de titiller Google et Yahoo en février prochain… Sauf s’il corrige ça avant 😉
Pour conclure sur l’alignement des domaines avec DMARC
Selon moi, il n’y a aucune difficulté à aligner au moins un de ces domaines avec DMARC (le plus facile étant DKIM si votre plateforme de routage vous fournit une clé bien sûr – ce qui n’est pas encore le cas avec certaines plateformes en 2023 et même en 2024 maintenant !). Mais comme je le dis souvent… Un c’est bien mais 2 c’est mieux !
Petit disclamer : N’oubliez pas également qu’un domaine non-protégé est un domaine vulnérable (et donc du pain bénit pour les hackers) donc que vous utilisiez une nouvelle plateforme ou que vous migrez vers une nouvelle plateforme, pensez bien à paramétrer par défaut vos authentifications e-mails : SPF, DKIM et DMARC.
– – – – –
Pour aller plus loin dans vos configurations SPF, DKIM et DMARC, n’hésitez pas à consulter nos articles dédiés :
— Qu’est-ce que SPF ? Configuration, vérification et monitoring
— Qu’est-ce que DKIM ? Configuration, vérification et monitoring
— DMARC : Pourquoi et comment le déployer ?
